12月1日,火绒接到若干用户求助,遭遇勒索病毒攻击。火绒安全团队分析确认,该病毒(Ransom/Bcrypt)为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。
该勒索病毒加密文件后弹窗提示,用户需在今年12月3日之前交付赎金解密,如果超出时间,则服务器会自动删除密匙。
火绒工程师表示,通过勒索病毒的界面信息都是中文可以推测,病毒或为国人制作,并使用不匿名的微信收取赎金,行为十分猖獗。
截止到目前,已有不少论坛、微博等网友遭遇该勒索病毒的攻击,而该微信二维码以及服务器均已不可使用,这意味着,被病毒感染的用户已经没法支付赎金获得密钥解密。
火绒安全团队监测近期大量用户遭到国产勒索软件攻击,所有文件被加密后要求用户使用微信扫码支付赎金。
正常情况下勒索软件开发者为了避免被执法机关追捕,会使用比特币和门罗币等虚拟货币进行完全匿名交易。
而这次使用微信扫码支付显然也是针对国内的用户,勒索软件要求用户扫码支付110 元后才能获得解密密钥。
火绒称这次的国产勒索软件攻击近期感染了大量用户,有胆量使用无法匿名的微信支付只能说行为十分猖獗。
勒索病毒首次要求使用微信支付 火绒连夜发布解密工具
微信支付二维码被封用户无法解密:
当然毫无意外腾讯监测到异常和用户投诉后已经对账号进行封号,于是用户即便想要支付赎金也没有办法了。
同时该勒索软件称用户必须在12月3日前支付赎金, 否则过期后服务器将自动删除解密密钥导致无法再解密。
火绒安全团队称甚至该勒索软件解密服务器都已经停用,对于用户们来说只能干着急没办法解密自己的文件。
值得注意的是该病毒甚至还会利用带有腾讯公司签名的程序调用病毒代码,以腾讯的名义躲避杀毒软件查杀。
火绒连夜发布专杀和解密工具:
目前火绒安全已经可以自动查杀和拦截此勒索软件,火绒团队也将继续追踪该病毒及其可能出现的变种版本。
同时经火绒分析该勒索软件开始加密前会在本地生成加解密数据,火绒工程师根据这些数据已成功提取密钥。
现在所有受此勒索软件影响的用户均可前往火绒安全下载解密工具,下载后按提示运行即可解密那些文件等。
PS:虽然此勒索软件开发者声称密钥会自动删除,但经过火绒工程师分析密钥实际是保存在本地的某个位置。
火绒安全发布的专用解密工具下载地址为:https://www.huorong.cn/download/tools/HRDecrypter.exe
